Облачная платформа «Крок» сертифицирована на соответствие PCI DSS
«Крок» сертифицировала облако на соответствие PCI DSS — стандарту индустрии платежных карт, всесторонне регламентирующему вопросы информационной безопасности (ИБ). Это уникальное для российского рынка событие: впервые сертификат получен на разработанную с нуля облачную платформу, в основе которой лежит открытый исходный код.
Стандарт PCI DSS (Payment Card Industry Data Security Standard) разработан более десяти лет назад лидерами рынка платежных систем, в том числе Visa, MasterCard, American Express. Это своего рода «знак качества» в обеспечении ИБ, гарантия защищенности сервиса или системы. Прохождение сертификации — обязательная практика для компаний, осуществляющих переводы и онлайн-платежи по банковским картам. К ним относятся не только банки и платежные системы, но и, например, торговые сети и или операторы связи, которые через свои сайты продают товары и услуги клиентам. В том случае, если информационная система, использующая данные о держателях платежных карт, размещается на аутсорсинговой площадке, последняя также должна быть проверена на соответствие требованиям безопасности PCI DSS.
Теперь заказчики «Крок» — финансовые организации, онлайн-ритейл, провайдеры и другие компании, принимающие платежи по банковским картам от клиентов через свои сайты — могут быть уверены, что они переносят свои сервисы на защищенную по мировым стандартам облачную платформу с двойными гарантиями отказоустойчивости.
Подготовка облачной платформы, включая ЦОД, виртуальную инфраструктуру и процессы эксплуатации под требования PCI DSS заняла более одного года. В результате усовершенствовано облако «Крок»: проведена ревизия всех его компонентов, особое внимание уделено сетевым механизмам.
Сертификацию проводила Digital Compliance, дочерняя компания Digital Security, специализирующаяся на ИБ-комплаенсе для финансовых организаций и платежных систем. Выданный ею документ — аттестат соответствия — гарантирует заказчикам безопасное хранение и обработку платежных данных своих клиентов. Кроме того, он позволяет заказчикам существенно упростить аттестацию своих облачных сервисов и сэкономить время на верификацию соответствия всем требованиям стандарта, осуществляемую командой Крок, аудитора и заказчика.
Получение сертификата важно и для тех заказчиков, которые не осуществляют на ресурсах облака «Крок» процессинг платежных карт. Перечень требований стандарта охватывает практически все сферы безопасности, что позволяет «снять» возникающие вопросы служб информационной безопасности заказчиков к облачной платформе и облегчить принятие решения о переезде в облако «Крок».
«Облако "Крок" — это продукт, который не имеет аналогов на российском рынке, так как является нашей собственной разработкой. Оно легко подстраивается под бизнес-задачи крупных заказчиков, которые переносят системы, обеспечивающие core-бизнес. Отличительные характеристики облачных услуг — максимальная степень защищенности данных, высочайшая производительность, отказоустойчивость, обеспечиваемая территориальной распределенностью платформы, множество услуг, которые мы оказываем на ее основе, а также индивидуальный подход и квалифицированная, доступная в режиме 24х7 поддержка — это наши конкурентные преимущества», — отметил Максим Березин, директор по развитию облачных услуг компании «Крок».
Одним из требований стандарта являются тесты на проникновение. Это симуляция «взлома» облачной платформы, которую проводила компания Digital Security. Облако «Крок» испытание прошло успешно: его устойчивость и соответствие строгим требованиям в области информационной безопасности было подтверждено аудитором.
«Мы проводим сертификационные аудиты на соответствие PCI DSS порядка 9 лет, но сертифицировать облачную платформу такого ранга и масштаба нам приходится впервые. Сотрудники Крок показали крепкие знания в области информационной безопасности и в рамках поддержки своего облачного решения, обеспечении его безопасности, и в процессах безопасной разработки программного обеспечения», — отметил Андрей Гайко, QSA-аудитор, заместитель директора Digital Compliance.